This site is dedicated to all things I see and that I think are interesting to publish almost always are other very smart people.

Archive for July, 2013

Video

Elefantes en caída libre

Advertisements

Link

Various Artists – Selected Signs III-VIII (2013) [6 CDs] {ECM 2350-55}

Selected III Disc Selected IV Disc Selected V Disc Selected VI Disc Selected VII Disc Selected VIII DiscVarious Artists – Selected Signs III-VIII (2013) [6 CDs] {ECM 2350-55}

Track List

CD 1 – Selected Signs III

01. Heiner Goebbels: In einem alten Fahrstuhl (from Der Mann im Fahrstuhl)
02. Steve Reich: Music for 18 Musicians (excerpt) (Steve Reich and Musicians)
03. Arvo Pärt: Fratres (Gidon Kremer, Keith Jarrett)
04. Arvo Pärt: Ludus from Tabula rasa (Gidon Kremer, Tatjana Grindenko, Alfred Schnittke, Lithuanian Chamber Orchestra/ Saulius Sondeckis)
05. György Kurtág; Aus der Ferne (from Játékok) (Márta Kurtág)
06. J S Bach: Gottes Zeit ist die allerbeste Zeit (Sonatina from ‘Actus tragicus’, BWV 106 transcribed by György Kurtág) (Márta & György Kurtág)
07. Tigran Mansurian: Testament (Rosamunde Quartet)
08. Betty Olivero: Neharót Neharót (excerpt) (Kim Kashkashian, Münchener Kammerorchester/Alexander Liebreich)
09. C P E Bach: Fantasie für Klavier fis-Moll (Alexei Lubimov)
10. Joseph Haydn: The Seven Last Words of our Saviour on the Cross – IV. Largo (Rosamunde Quartet)
11. River
12. Meredith Monk: Scared Song (from Do You Be)
13. Heiner Goebbels: Der Chef (from Der Mann im Fahrstuhl)

CD 2 – Selected Signs IV

01. Heiner Goebbels: Hörstück II (“Ich möchte Ihnen einen Vorschlag machen…”)/ Kleine Passacaglia/Über den Selbstmord (from Eislermaterial)
02. Giya Kancheli: Vom Winde beweint – I. Largo molto (Kim Kashkashian, Orchester der Beethovenhalle Bonn/Dennis Russell Davies)
03. John Tavener: Funeral Canticle (excerpt) (with kind permission of Harmonia Mundi)
04. Dmitri Shostakovich: String Quartet No.15 – I. Elegy (Keller Quartet)
05. Arvo Pärt: Most Holy Mother of God (from Officium Novum) (The Hilliard Ensemble)
06. Tres morillas m’enamoran (Spanish anonymous) (from Officium Novum) (Jan Garbarek, The Hilliard Ensemble)
07. Dmitri Shostakovich: Chamber Symphony op. 110 bis – I. Largo (Stuttgarter Kammerorchester / Dennis Russell Davies)
08. Valentin Silvestrov: I. Postludium ‘DSCH’ (Maacha Duebner, Simon Fordham, Anja Lechner, Silke Avenhaus)
09. Valentin Silvestrov: III. Postludium (Anja Lechner, Silke Avenhaus)

CD 3 – Selected Signs V

1-12: Eleni Karaindrou: Concert In Athens
01. Voyage / 2. Closed Roads / 3. Invocation / 4. Tango of Love / 5. Tom’s Theme / 6. Laura’s Waltz / 7. Adagio / 8. After Memory / 9. Farewell Theme / 10. Seeking Theme / 11. Nostalgia Song / 12. Requiem for Willy Loman, var.
13. Eleni Karaindrou: The Weeping Meadow
14. Karaindrou: Memories (from Elegy of the Uprooting)
15. Jan Garbarek: Dis (from Dis)
16. Jon Balke /Amina Alaoui: O Andalusin (from Siwan)
17. Jon Balke /Amina Alaoui: Ashiyin Raïqin (from Siwan)
18-21 Rolf Lislevand Ensemble: Music based on early baroque compositions, arr. Rolf Lislevand (from Nuove musiche)
18. Passacaglia andaluz II
19. Toccata
20. Passacaglia cromatica
21. Arpeggiata addio

CD 4 – Selected Signs VI

1-11: Andrey Dergatchev: Music for the film ‘The Return’:
01. Underwater / 2. In The Bedroom / 3. The Road / 4. Mugam / 5. Japan / 6. Port / 7. Rehearsal / 8. Piano / 9. Georgians / 10. Final Titles / 11. Wolf
12-18 Nils Petter Molvær:
12. Khmer / 13. Tløn / 14. Access/Song Of Sand I / 15. On Stream / 16. Platonic Years / 17. Plum / 18. Song Of Sand II (from Khmer)
19. Eivind Aarset: Close (For Comfort) (from Dream Logic)

CD 5 – Selected Signs VII

01. Stefano Battaglia Trio: Euphonia Elegy (music Battaglia) (from Songways)
02. Food: Celestial Food (music Strønen/Ballamy/Fennesz) (from Mercurial Balm)
03. Tord Gustavsen Quartet: Prelude (music Gustavsen) (from The Well)
04. Egberto Gismonti: Memoria e Fado (marrom) (from Dança dos Escravos)
05. Norma Winstone Trio: Like A Lover (music: Dori Caymmi) (from Stories Yet To Tell)
06. Norma Winstone Trio: Cradle Song (Hoy Nazan) (music Komitas arr. Tigran Mansurian) (from Stories Yet To Tell)
07. Jan Garbarek/Egberto Gismonti /Charlie Haden: Carta de Amor (music Gismonti) (from Magico – Carta de Amor)
08. Ralph Alessi: Zone (from Baida)
09. & 10. Anja Lechner/Vassilis Tsabropoulos: Trois morceaux après des hymnes byzantins I & II (music Tsabropoulos) (from Chants, Hymns and Dances)
11. Colin Vallon Trio: Telepathy (music Patrice Moret) (from Rruga)
12. Christian Wallumrød Ensemble: Solemn Mosquitoes (music Wallumrød)
13. Christian Wallumrød Ensemble: Blop (music Wallumrød) (from Fabula Suite Lugano)
14. Tomasz Stanko Quartet: Song for Ania (music Stanko) (from Lontano)

CD 6 – Selected Signs VIII

01. Jimmy Giuffre 3: Jesus Maria (music Carla Bley)
02. Paul Bley /Evan Parker /Barre Phillips: Time Will Tell
03. Barre Phillips/Feichtner /Surman/Martin: Mountainscapes V
04. Old And New Dreams: Lonely Woman (music Ornette Coleman)
05. Robin Williamson: The Four Points Are Thus Beheld (music Williamson / Dunmall / Möller)
06. Sinikka Langeland: Langt innpå skoga
07. Frode Haltli: Psalm (traditional, arr. Haltli)
08. Gary Peacock: Voice from the Past
09. Steve Kuhn Trio with Joe Lovano: Spiritual (music John Coltrane)
10. Wadada Leo Smith: Kulture of Jazz
11. Robin Williamson: The World

Selected Signs III – VIII. Music selected for the exhibition ECM – A Cultural Archaeology at Haus der Kunst, Munich


Image

SACRIFICIUM – CECILIA BARTOLI – DELUXE 2CD – LIMITED EDITION

SACRIFICIUM - CECILIA BARTOLI - DELUXE 2CD - LIMITED EDITION

SACRIFICIUM – CECILIA BARTOLI – DELUXE 2CD – LIMITED EDITION


Link

SACRIFICIUM – CECILIA BARTOLI – DELUXE 2CD – LIMITED EDITION

SACRIFICIUM – CECILIA BARTOLI – DELUXE 2CD – LIMITED EDITION

La edición incluye libro de más de 100 páginas “Diccionario Ilustrado del Castrato”


Link

If Kerouac wrote JavaScript (and Dr Johnson wrote CoffeeScript)

If Kerouac wrote JavaScript (and Dr Johnson wrote CoffeeScript)

Kerouac is renowned for his spontaneous, stream-of-consciousness approach to writing, supposedly delivering some works at a single sitting. Since planning is alien to Kerouac’s process, he has no use for functions. The above code can only return the factorial of 43. If you want the factorial of another number, you’ll need to rewrite the code.

Notice how comments are virtually indistinguishable from code; to Kerouac it’s all the same – one long, rhapsodic outpouring.

Samuel Johnson

“When a man is tired of JAVA-SCRIPT, he is tired of LIFE”


Link

Almanac

Almanac

CSS Selected & Properties


Recomendaciones para prevenir el problema de seguridad en Android descubierto por Bluebox

 Bitelia by Bárbara Pavan 

Bluebox, una empresa especializada en la seguridad informática, puso patas para arriba al mundo móvil anoche al revelar una vulnerabilidad importante en Android que podría afectar al 99 por ciento de todos los dispositivos que usen este sistema operativo. El problema, que aparentemente fue reportado a Google en el mes de febrero, no debería afectar al usuario promedio, que está más acostumbrado a descargar aplicaciones solamente desde Google Play. Sin embargo, sigue siendo algo grave, y veremos qué podemos hacer para resolver la vulnerabilidad de seguridad en Android.

antivirus android principal

Cuando hablamos de resolver, nos estamos refiriendo a nuestro propio terminal. Como bien dijo nuestro compañero Guillermo en ALT1040, es responsabilidad de los fabricantes de los equipos desarrollar y lanzar las actualizaciones correspondientes para eliminar esta vulnerabilidad del sistema operativo. Google, por otro lado, ya habría realizado los cambios respectivos en su tienda de aplicaciones; sin embargo, no es allí donde el problema reside. Primero, veremos en qué consiste todo esto, para luego hablar de las acciones que podemos tomar para resolver la vulnerabilidad de seguridad en Android y, de paso, también hablaremos sobre las mejores prácticas para descargar aplicaciones.

En qué consiste la vulnerabilidad

Hacía tiempo que no escuchábamos sobre los problemas brutales de seguridad en Android, pero en su momento, eran moneda corriente. Después de un tiempo de descanso, Bluebox, una empresa de seguridad especializada en BYOD (Bring Your Own Device) trae a la mesa este importante descubrimiento, revelado anoche por el CTO de la compañía Jeff Forristal. Esta vulnerabilidad descubierta afecta todos los dispositivos desde Android 1.6, lo que se traduce en aproximadamente el 99 por ciento de los terminales activos.

Para entender en qué consiste esta vulnerabilidad, tenemos que hablar primero de la firma digital que sirve para certificar las aplicaciones que nos bajamos. Todas las aplicaciones de Android, incluso las que nos bajamos desde Google Play o las que vienen por default en el equipo, sea porque pertenecen al sistema operativo o porque están incluidas en la capa de personalización que pone la empresa fabricante, tienen una clave criptográfica.

Esta clave es una especie de “llave” que nos permite, entre otras cosas, actualizarla desde Google Play. Sin esta clave, no podríamos hacer la actualización. Ahora bien, este sistema no debería traer problemas a la mesa si no fuese por esta vulnerabilidad. De acuerdo con Bluebox, hay una forma de meterse dentro de las “entrañas” de cualquier aplicación, y usarla para lo que queramos sin necesidad de tener la clave criptográfica. Esto quiere decir que no solamente se pueden cambiar las apps que nos bajamos de Google Play, sino que además se pueden modificar las aplicaciones del sistema, sin que nosotros como usuarios nos demos cuenta.

¿En la realidad, qué significa esto? Quien se haya percatado de esta vulnerabilidad, y la aproveche, podría tener acceso a toda la información que se almacene dentro de un smartphone. De hecho, podría controlar el equipo de tal forma que hasta podría realizar llamadas, mandar mensajes de texto, correos electrónicos, y tomar fotografías activando la cámara de fotos. Como podemos apreciar, un problema grave.

Quiénes están afectados

Cuando decimos que el 99 por ciento de los equipos podrían estar afectados, esto no quiere decir que en estos momentos, si tenemos un terminal con una versión reciente de Android hay alguien en algún lugar del mundo sacando fotos con nuestra cámara. Esta vulnerabilidad no nos va a afectar si, por ejemplo, solamente nos bajamos aplicaciones de Google Play. Y, en el caso del usuario promedio, es lo que normalmente sucede: no bajamos los APK de las aplicaciones porque es más conveniente bajarlos desde la Play Store, a menos que sea una aplicación que no esté disponible pero que realmente queremos usar (por ejemplo, Falcon Pro).

Android

Caso aparte es si tenemos un terminal con permisos root y ROMs modificadas. Estos son los usuarios que corren más riesgos. ¿Por qué? Justamente, al haber hecho root del equipo, tienen más aplicaciones con acceso a todo el sistema que un usuario normal. Por otro lado, los flamantes dueños del Samsung Galaxy S4 no deberán preocuparse, dado que el buque insignia de la empresa coreana soluciona con la capa de personalización TouchWiz el problema de seguridad de Android recientemente descubierto. El resto de los terminales, sin embargo, sí están en riesgo.

Primeros recaudos

El primer paso para resolver la vulnerabilidad de seguridad en Android es fijarnos si podemos hacer esto, es decir, instalar aplicaciones que no vengan desde Google Play. Para poder establecer esto, podemos ingresar, desde los Ajustes del dispositivo, a la sección de Seguridad. Una de las opciones nos permitirá permitir la instalación de aplicaciones de “fuentes desconocidas”, es decir, que no provengan directamente desde Google Play. Por default, no deberíamos tener esta opción activada, pero nunca está de más revisarlo.

En segundo lugar, deberíamos revisar las aplicaciones que tenemos instaladas y los permisos que están usando en nuestro dispositivo. Son conocidos los casos de las aplicaciones que se abusan, y estamos hablando aquí de apps que hasta nos bajamos de Google Play. Si no la usamos habitualmente, y no podemos pensar en algunos segundos para qué la vamos a necesitar en un futuro cercano, nos deberíamos deshacer de ella. En todo caso, siempre podemos volver a descargarla.

Seguridad a la hora de instalar aplicaciones

Hace algunos meses, les presentamos una guía con consejos para instalar aplicaciones de forma segura en Android. Desde Bluebox nos recomiendan solamente instalar aplicaciones desde Google Play o desde fuentes que sepamos que son enteramente confiables, pero es una buena oportunidad para recordar algunas buenas prácticas para los usuarios de Android, que se deben seguir no solamente para resolver la vulnerabilidad de seguridad en Android sino también para poder quedarnos más tranquilos a la hora de descargar aplicaciones.

  • En primer lugar, avisamos que dentro del panel de Seguridad nos encontraremos con la posibilidad de bloquear la instalación de aplicaciones que provienen de fuentes desconocidas. Lo volvemos a repetir para tenerlo en cuenta. Esto se puede revisar desde Ajustes > Seguridad.

  • La comunidad de usuarios de Google Play es enorme y muchos de ellos suelen dejarcomentarios en las aplicaciones para comentar sus experiencias. Antes de descargarnos una aplicación, deberíamos revisar estos comentarios para saber qué estamos a punto de instalar, y cuáles fueron las experiencias de personas con nuestro mismo terminal o alguno en la misma gama.

  • Otra de las opciones que tenemos es revisar los permisos que nos va a pedir la aplicación una vez que esté instalada. En este caso, tenemos que revisar que sean permisos lógicos y que estén yendo demasiado lejos. Si encontramos algunos permisos “raros” a información que no necesitan, deberíamos evitar descargarnos esa app.

  • En este mismo sentido, también vale la pena revisar otras aplicaciones que tenga el desarrollador en Google Play, y revisar sus comentarios. Si encontramos cosas sospechosas, entonces deberemos buscar una alternativa.

  • Una vez instaladas las aplicaciones, podemos mantener un registro a través del monitor de actividades del teléfono, para saber qué aplicaciones están corriendo de fondo y por qué.

  • Finalmente, usemos nuestra inteligencia, el sentido común, antes de descargar aplicaciones que puedan ser un riesgo de seguridad. Si tenemos una mínima duda, tratemos de confiar en nuestros instintos y evitar la instalación.

La entrada Recomendaciones para prevenir el problema de seguridad en Android descubierto por Bluebox aparece primero en Bitelia.


¿En qué consiste la vulnerabilidad de Android y cómo podemos protegernos?

 
Genbeta by Guillermo Julián  

Android Burlado

Ya lo habéis oído todos: se ha descubierto una vulnerabilidad de Android que afecta al 99% de dispositivos y que permitiría a un atacante reemplazar ciertas APKs por un fallo en el sistema criptográfico y de actualizaciones.

Antes de seguir, vamos a pararnos un poco. Intentemos explicar para todo el mundo y sin omitir detalles qué es lo que realmente está pasando. Como siempre, vamos primero a las bases: exploremos las aplicaciones de Android, por qué van firmadas y cómo se actualizan.

¿Quién puede actualizar aplicaciones?

Android Update

Cualquiera mínimamente familiarizado con Android sabe que las aplicaciones están empaquetadas en archivos APK: básicamente, un archivo ZIP con el ejecutable (podríamos decir que es como si fuese un .EXE), información y recursos e imágenes de la aplicación.

Android tiene todas las aplicaciones de vuestro teléfono en archivos APK en el sistema. A la hora de actualizar una aplicación, la cosa es sencilla: reemplazamos el APK viejo con el nuevo . Puede que haga más tareas, pero esto es lo principal.

Ahora bien, hay un problema potencial: ¿qué pasa si el APK nuevo no es del mismo desarrollador? Por ejemplo, ¿qué debería hacer Android si tú creas una actualización de Gmail y quieres instalarla sustituyendo la que ya tienes? La respuesta obvia es que no debería dejarte. Android sólo permite actualizaciones en las que el APK nuevo ha sido creado por el mismo que creó elAPK viejo. Para ello usa un proceso llamado firma criptográfica.

En qué consiste la firma de un APK

Firma digitalEsquema de firma digital. Fuente original.

Plantearos que la firma criptográfica es como sellar un papel. Sólo tú tienes ese sello, y si alguien escribe algo más en el papel tendrá que hacerlo por encima del sello (usad la imaginación), de tal forma que sabrás que se ha modificado.

El proceso más técnico, pero simplificado, es el que sigue:

  • Obtenemos la huella digital del APK. Esta huella o hash es como tu huella dactilar: es única para ese APK y no se repite (teóricamente). Si algo cambia, el hash cambia también.
  • Ciframos el hash con la clave privada del desarrollador. Esta clave sólo la tiene él y no la comparte con nadie más, por algo es privada. Ese hash cifrado es la firma digital.

Vayamos ahora a la parte de verificación de la firma:

  • Recibimos la firma digital, y la desciframos con la clave pública del desarrollador.
  • Calculamos el hash del APK que hemos recibido y comparamos con lo que hemos descifrado de la firma digital. Si coinciden, la firma es válida.

Como el hash es único para cada APK, nos aseguramos de que el paquete no se ha modificado desde que lo creó el desarrollador. Por otra parte, si un mensaje se cifra con una clave privada sólo se puede descifrar con la clave pública correspondiente; y con esa clave pública no podrás descifrar mensajes de ninguna otra clave privada. De esta forma que te aseguras que s*ólo ha podido ser el desarrollador quien ha creado el paquete*.

Es decir, que tal y como está planteada la firma digital, es un certificado imposible de falsificar (como siempre, en teoría) que te asegura que el desarrollador fue el que creó esa aplicación y que nadie más la ha modificado.

La firma digital asegura que sólo el desarrollador original puede crear actualizaciones de sus apps.

A la hora de instalar la actualización, Android comprueba dos cosas: que la firma del APK sea válida y que la clave privada sea la misma con la que se firmó la versión anterior. Si el paquete se ha firmado con otra clave, el sistema lo reconocerá como una aplicación nueva y no sustituirá a la vieja.

Este método asegura que sólo el desarrollador original, y nadie más que él, puede crear actualizaciones para sus aplicaciones.

¿Dónde está la vulnerabilidad?

Una vez que ya sabemos perfectamente cómo se actualiza una aplicación de Android, veamos dónde se ha encontrado la vulnerabilidad. Bluebox no ha desvelado todos los detalles del fallo, ni cómo funciona ni cómo explotarlo. Sólo ha dicho dónde está y en qué consiste.

Se trata de un fallo en el sistema de verificación de la firma de las aplicaciones. Gracias a él, alguien podría modificar un APK de tal forma que la firma digital seguiría siendo válida. Por ejemplo, podría cambiar el APK de Gmail y Android seguiría pensando que no ha sido modificado desde que lo firmó Google al crearlo.

Una vez que podemos modificar los paquetes sin invalidar la firma, alguien podría introducir código malicioso en un APK conocido sin que el sistema lo detecte. Básicamente, pueden conseguir que instales una aplicación maliciosa disfrazada de aplicación conocida y confiable.

Un ejemplo de escenario de ataque: te envían un enlace diciendo que ha salido una nueva actualización de Google Maps. Descargas el paquete (un APK de Google Maps firmado por Google), te aparece el aviso preguntando si quieres actualizar, aceptas y listo. Android no detecta que en realidad ese paquete ha sido modificado y tiene un troyano que permitirá a un atacante obtener acceso a tu teléfono.

Al ser una actualización no necesita pedirte permisos: ya se los diste al instalar la aplicación original. Quizás no pase nada si instalas una actualización maliciosa de Angry Birds: al fin y al cabo no tendrá muchos más permisos que la aplicación original. Pero, ¿y si la actualización es para Gmail, por ejemplo? Tendrían acceso a todos tus correos, a Internet… Perfecto para montar una botnet o para robar tus cuentas.

Incluso hay un esceneario peor: una actualización de una aplicación de sistema que tenga todos los permisos posibles. El atacante tendría acceso ilimitado a tu sistema mientras tú piensas que has instalado una actualización inocente para mejorar algún ajuste del móvil.

¿Cómo protegernos?

Este fallo afecta a cualquier tipo de aplicación de Android. La cuestión es cómo puede hacerte llegar el atacante esa aplicación modificada.

La recomendación es no instalar ninguna aplicación fuera de Google Play.

Para que te llegasen estas aplicaciones maliciosas a través de una actualización de Google Play, los atacantes deberían de haber entrado en los servidores de Google y enviado una actualización manualmente. No es precisamente una tarea fácil, así que podéis contar con que usar el mercado oficial de Android, Google Play, es seguro.

La única forma que nos queda es instalando aplicaciones de orígenes no oficiales: descargándolas de otros mercados con menos controles y seguridad, o simplemente haciendo un clic en una página web que descargue el APK.

En resumen: si queréis protegeros frente a esta vulnerabilidad, desactivad la opción de instalar las aplicaciones de orígenes desconocidos.

Google tiene difícil corregirlo

Android KO

El fallo es grave. Se notificó a Google y demás fabricantes en febrero, pero sólo Samsung ha podido preparar un parche para su S4. Como afecta a casi todos los teléfonos desde Android 1.6, y teniendo en cuenta el ritmo de actualizaciones de Android, un buen número de teléfonos se van a quedar con él para siempre.

Muchos usuarios poco experimentados pueden caer en la trampa de confiar en estas actualizaciones, ya que pueden parecer totalmente legítimas y no resultar tan extrañas como un juego de pinball que pide acceso a tus SMS. Incluso podrían caer usuarios más avanzados: con distribuir enlaces de “Nueva versión filtrada de Gmail para Android” valdría para infectar un buen número de teléfonos de gente que conoce perfectamente el sistema.

Con fallos como este, cada vez se hace más necesaria una vía de actualizaciones rápidas por parte de Google y los fabricantes. Al menos a mí no me parece serio que una gran parte de los móviles con Android se vayan a quedar con un fallo grave de seguridad porque no puedan actualizarse a siguientes versiones del sistema.